[发明专利]一种Android平台的复合污点传播追踪方法

说明书

本发明公开了一种Android平台的复合污点传播追踪方法。本方法为：1)修改虚拟机层，在基类中添加污点传播标记记录；生成平台的操作系统镜像；2)利用硬件模拟器启动该操作系统镜像，运行该恶意代码；3)CPU执行指令时，若操作系统内核出现新的task_struct节点，且其中的进程名与该恶意代码进程的进程名一致，则当执行该节点中的进程时，将该进程执行产生的数据标记为污点数据，采用污点传播规则计算；4)当该进程调用JNI接口时，如果该JNI接口的调用过程的JNI输入参数是污点，则在传入原生代码层时，将该JNI输入参数传入的数据区域标记为污点，之后根据原生代码层的污点传播规则计算。本发明追踪准确度高。

技术领域

本发明属于网络安全技术领域，具体涉及一种在Android系统上跨Dalvik虚拟机和Linux原生代码展开污点传播追踪的方法。

背景技术

随着社会的不断发展和进步，Android手机在社会各个领域的应用越来越广泛。由于软件的复杂性和用户安全意识的不足，带有恶意代码或恶意功能的软件大量传播，造成的破坏日益严重。目前针对这些软件进行分析主要采用污点传播方法，但传统的污点传播通常单独针对于Android平台上的Dalvik虚拟机或Android的Linux原生代码，很难追踪跨越Dalvik虚拟机和Linux原生代码传递的信息。因此，提高该情况下的污点传播分析能力十分必要。

Android系统从恶意代码数据流追踪需求的角度观察，主要关注Linux系统、Dalvik虚拟机两个层次，现有Android平台污点传播分析方法代表性工作TaintDroid系统、Panda平台、DECAF平台等，通常都是针对于单一的目标设计，TaintDroid系统针对于Dalvik层的污点传播，Panda、DACAF平台则针对于原生代码层的污点传播。在很多情况下，恶意代码同时包含Dalvik层的执行体和原生代码层的执行体，二者之间相互传递信息，现有的分析方法很难准确、稳定的实现对此类恶意代码的机理分析。

当前的Android平台污点传播分析技术，通常使用如下的几种方法：

1.修改Dalvik虚拟机代码，在基类中添加污点标记记录，追踪Dalvik层污点数据使用；

Dalvik虚拟机中运行的程序均由基类派生得到，因而在基类中添加污点标记记录，则所有在Dalvik虚拟机中运行的变量、类、成员函数等都具有污点记录能力，能够进行污点传播分析。

但目前针对于Dalvik虚拟机的污点传播方法，均将监控目标设定在Dalvik虚拟机层次内，未监控Dalvik虚拟机和Linux原生代码层之间的通信过程。

2.在原生代码层监控系统的执行指令，追踪原生代码层污点数据使用；

在原生代码层监控系统的执行指令，主要方式是使用调试器附加到目标进程上，或者使用虚拟机从虚拟CPU层面，监控程序执行的每一条Linux原生代码指令，分析指令的操作内容，对其进行污点传播分析。

原生代码层的污点传播分析能够较为完整的监控进程执行的指令，但该分析方法丢失了Dalvik层程序的原始语义，也忽略了对Dalvik虚拟机和原生代码通信接口的分析，因而基于原生代码污点传播的数据分析Dalvik和原生代码的通信过程十分困难。

综上，目前Android系统恶意代码污点传播分析方法的主要缺陷在于：采用针对Dalvik虚拟机污点传播的方法，则无法监控原生代码层的操作、无法监控原生代码与Dalvik虚拟机的信息交换；采用针对于原生代码层的污点传播分析方法，无法有效分析Dalvik虚拟机层指令语义，也忽略了两个层次之间交换的数据。

发明内容

针对现有技术中存在的技术问题，本发明的目的在于提供一种Android平台的复合污点传播追踪方法，通过构建虚拟化分析环境、修改Dalvik代码，实现Android平台上程序Dalvik层、原生代码层、跨层数据交换的全范围监控。